Google Cloud ofrece Gestión de Identidades y Accesos (IAM), que te permite dar acceso granular a recursos Google Cloud específicos y evita el acceso no deseado a otros recursos. En esta página se describen los roles de IAM de Cloud Trace.
- Para saber cómo asignar roles de gestión de identidades y accesos a un usuario o una cuenta de servicio, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
- Para obtener más información sobre los roles predefinidos, consulta Gestión de identidades y accesos: roles y permisos.
- Para obtener ayuda a la hora de elegir los roles predefinidos más adecuados, consulta el artículo Elegir roles predefinidos.
Práctica recomendada
Para facilitar la solución de problemas, recomendamos que se conceda el rol de usuario de Cloud Trace (roles/cloudtrace.user) en el proyecto a todas las personas, grupos y dominios que puedan necesitar ver los datos de traza. Este rol otorga a las entidades los permisos que necesitan para ver los datos de traza.
Permisos y roles predefinidos
Los roles de gestión de identidades y accesos incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio.
Roles de Cloud Trace
En la siguiente tabla se indican los roles predefinidos de Cloud Trace y los permisos de cada uno de ellos:
| Role | Permissions |
|---|---|
Cloud Trace Admin( Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role:
|
|
Cloud Trace Agent( For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role:
|
|
Cloud Trace User( Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role:
|
|
Roles de la API Telemetry
En la siguiente tabla se indican los roles predefinidos de la API Telemetry (OTLP) y los permisos de esos roles:
| Role | Permissions |
|---|---|
Cloud Telemetry Metrics Writer( Access to write metrics. |
|
Integrated Service Telemetry Logs Writer Beta( Allows an onboarded service to write log data to a destination. |
|
Integrated Service Telemetry Metrics Writer Beta( Allows an onboarded service to write metrics data to a destination. |
|
Integrated Service Telemetry Writer Beta( Allows an onboarded service to write all telemetry data to a destination. |
|
Integrated Service Telemetry Traces Writer Beta( Allows an onboarded service to write trace data to a destination. |
|
Cloud Telemetry Traces Writer( Access to write trace spans. |
|
Cloud Telemetry Writer( Full access to write all telemetry data. |
|
Cómo crear funciones personalizadas
Para crear un rol personalizado que incluya permisos de Cloud Trace, sigue estos pasos:
- Para un rol que solo conceda permisos para la API Cloud Trace, elige los permisos que requiera el método de la API.
- Para un rol que conceda permisos para la API y la consola de Cloud Trace, elige grupos de permisos de uno de los roles predefinidos de Cloud Trace.
- Para conceder la capacidad de escribir datos de trazas, incluye los permisos en el rol Agente de Cloud Trace (
roles/cloudtrace.agent).
Para obtener más información sobre los roles personalizados, consulta el artículo Crear y gestionar roles personalizados.
Permisos de métodos de API
Para obtener información sobre los permisos necesarios para ejecutar una llamada a la API, consulta la documentación de referencia de la API Cloud Trace: